网络协议与攻击模拟：wireshark使用、ARP协议

协议
TCP/IP协议簇

• 网络接口层（没有特定的协议)PPPOE
• • 物理层
• • 数据链路层
• 网络层:lP (v4/6) ARP(地址解析协议) RARP ICMP(Internet控制报文协议) IGMP
• 传输层:TCP (传输控制协议) UDP(用户数据报协议)
• 应用层:都是基于传输层协议的端口，总共端口0 ~ 65535 0~1023 HTTP–tcp80 HTTPS—TCP443
• • DHCP.
• • DNS
• • HTTP
• • HTTPS
• • FTP
• • SMTP
• • POP3
• • IMAP

一、wireshark使用

流量抓取工具(wireshark)

1、网卡

wireshark是对主机网卡上的数据流量进行抓取

1.1、网卡模式

• 混杂模式:不管目的是否是自己，都接收
• 非混杂模式:默认情况下，主机的网卡处于此模式，不会接收目的非自己的数据

1.2、界面认识

1.3、两种过滤器

• 捕获过滤器:在抓包之前先进行过滤（只抓某种类型的包或者不抓某些类型的包)
• 显示过滤器:抓包前后抓包后都可以进行过滤，但是不会影响抓取的包（会抓取所有的包，只不过在查看的时候只显示某些包)

1.4、过滤器

• 捕获过滤器
• • 语法
• • • 类型:host net port
• • • 方向:src dst
• • • 协议: ether ip tcp udp http ftp………
• • • 逻辑运算符:&&与 || 或 !非
• • 举例
• • • 抓取源P为192.168.18.14并且目标端口为80的报文

src host 192.168.18.14 && dst port 80

• • • 抓取IP为192.168.18.14或者IP地址为192.168.18.1

host 192.168.18.14 || host 192.168.18.1

• • • 不抓取广播包

! broadcast

• • • 抓取源IP为192.168.18.14或者源192.168.18.0/24，目的TCP端口号在200到10000之间，并且目的位于119.0.0.0/8

(src host 192.168.18.14 || src net 192.168.18.0/24)&& (dst portrange 200-10000 && dst net 119.0.0.0/8)

• 显示过滤器
• • 语法
• • 比较操作符:
    == (eq)
    != (neq)
    大于(gt)
    <小于(lt)
    大于等于(ge)
    <=小于等于(le)
• • 逻辑操作符:
    and(&&)
    与or (ll)
    not
• • IP地址过滤:
    ip.addr
    ip.src
    ip.dst
• • 端口过滤:
    tcp.port
    udp.port
    tcp.dstport
    tcp.flag.syn
    tcp.flag.ack
• • 协议过滤:
    arp
    ip
    icmp
    udp
    http
    tcp
• • 举例
• • • 显示源IP等于192.168.18.14并且tcp端口为443

ip.src==192.168.18.14 and tcp.port==443

• • • 显示源不为192.168.18.14或者目的不为202.98.96.68的

ip.src!=192.168.18.14 or ip.dst!=202.98.96.68

二、ARP协议（地址解析协议)

• 将一个已知的IP地址解析为MAC地址，从而进行二层数据交互
• 是一个三层的协议，但是工作在二层，是一个2.5层协议

1、工作流程

1.1、两个阶段

• ARP请求
• ARP响应

1.2、ARP协议报文(分组)格式

1.3、ARP缓存

• 主要的目的是为了避免重复去发送ARP请求
• 在Windows操作系统中使用ARP命令
  （1） arp -a
  （2） arp -d

2、ARP攻击及ARP欺骗

2.1、ARP攻击

• 伪造ARP应答报文，向被攻击主机响应虚假的MAC地址
  当被攻击主机进行网络通信时，会将数据交给虚假的MAC地址进行转发，由于虚假的MAC地址不存在，所以造成被攻击主机无法访问网络

2.2、ARP欺骗

• 欺骗网关
  (1)伪造ARP应答报文，向被攻击主机和网关响应真实的MAC地址
  (2)当被攻击主机进行网络通信时，会将数据交给真实MAC地址进行转发，从而来截获被攻击主机的数据，这时被攻击主机是可以进行网络通信的
• 欺骗主机
  (1)伪造ARP应答报文，向被攻击主机和通信的主机响应真实的MAC地址
  (2)当被攻击主机向通信主机发送数据时，会将数据交给真实MAC地址进行转发，从而来截获被攻击主机的数据，这时被攻击主机是可以进行网络通信的